Plateforme
python
Composant
lm-sys/fastchat
Une vulnérabilité de type SSRF (Server-Side Request Forgery) a été découverte dans l'API fastchat, plus précisément dans le point de terminaison /workergeneratestream de l'API Controller Server. Cette faille permet à un attaquant d'exploiter les informations d'identification du serveur API pour effectuer des actions web non autorisées ou accéder à des ressources web non autorisées, en la combinant avec le point de terminaison /register_worker. La vulnérabilité affecte toutes les versions antérieures à la dernière. La correction consiste à mettre à jour vers la dernière version disponible.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'initier des requêtes vers des ressources internes ou externes au nom du serveur fastchat. Cela peut entraîner la divulgation d'informations sensibles, l'exécution de code arbitraire, ou même la prise de contrôle du système. L'attaquant peut exploiter les identifiants du serveur API pour accéder à des données confidentielles, modifier des configurations, ou lancer des attaques contre d'autres systèmes connectés. Le risque est amplifié si le serveur fastchat est exposé à Internet ou s'il est utilisé pour traiter des données sensibles.
Cette vulnérabilité a été publiée le 30 décembre 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la sévérité élevée (CVSS 9.3) justifie une attention particulière. Aucun PoC public n'est actuellement disponible, mais la nature de la vulnérabilité SSRF rend son exploitation potentiellement simple. Il est conseillé de surveiller les sources d'information sur les vulnérabilités (NVD, CISA) pour toute nouvelle information.
Organizations deploying lm-sys/fastchat for large language model serving, particularly those with exposed Controller API Servers, are at significant risk. This includes research labs, AI development teams, and any environment where fastchat is used to manage and orchestrate language models. Shared hosting environments where multiple users share the same fastchat instance are also particularly vulnerable.
• python / server: Monitor outbound network traffic from the fastchat Controller API Server for unexpected destinations. Use tools like tcpdump or Wireshark to capture and analyze traffic.
tcpdump -i any -n port 80 or port 443 | grep -i 'example.com'• python / server: Examine fastchat logs for unusual requests to the /workergeneratestream and /register_worker endpoints. Look for requests with malformed URLs or unexpected parameters.
# Example log analysis (replace with your actual log parsing)
import re
with open('fastchat.log', 'r') as f:
for line in f:
if re.search(r'/worker_generate_stream.*(http://|https://)', line):
print(line)• generic web: Check for unusual outbound connections from the fastchat server using ss or netstat.
ss -t -a | grep fastchatdisclosure
patch
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour fastchat vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de restreindre l'accès au point de terminaison /workergeneratestream et de surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Il est également conseillé de vérifier la configuration du serveur API pour s'assurer qu'il n'y a pas d'informations d'identification stockées en clair.
Mettez à jour la bibliothèque lm-sys/fastchat à une version ultérieure à e208d5677c6837d590b81cb03847c0b9de100765. Cela corrigera la vulnérabilité SSRF dans l'endpoint /worker_generate_stream. Consultez les notes de version pour plus de détails sur la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-10044 is a critical Server-Side Request Forgery (SSRF) vulnerability in the Controller API Server of lm-sys/fastchat, allowing attackers to exploit the server's credentials for unauthorized web actions.
If you are running lm-sys/fastchat with versions up to the latest release, you are potentially affected by this SSRF vulnerability.
The recommended fix is to upgrade to a patched version of fastchat as soon as it becomes available. Implement temporary workarounds like restricting network access and input validation until the patch is applied.
While no active campaigns have been publicly confirmed, the ease of exploitation makes it a likely target for attackers. Monitor your systems closely.
Refer to the lm-sys/fastchat repository and relevant security mailing lists for official advisories and updates regarding CVE-2024-10044.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.